Vérifier & corriger2 juillet 2026 · 4 min de lecture
Vérifier si ta base Supabase est ouverte (2 minutes)
Sans être dev, ouvre les DevTools de ton navigateur et vois en 2 minutes si ta base Supabase répond sans authentification. La méthode pas à pas.

Tu n'as pas besoin d'être développeur pour savoir si ta base est ouverte. Tout est dans ton navigateur, et ça prend deux minutes. Je te montre exactement où cliquer.
L'idée : ton app parle à sa base sous tes yeux, dans un onglet caché du navigateur. Si la base répond avec des données alors que tu n'es pas connecté, c'est que le verrou (le RLS) est désactivé. Voici comment le voir.
Ce dont tu as besoin
Trois choses. Ton app ouverte dans Chrome ou Firefox, deux minutes, et rien d'autre. Pas de compte, pas d'outil à installer, pas de ligne de code. On va juste regarder ce que ton app fait déjà.
La méthode, étape par étape
- Ouvre ton app dans le navigateur, en étant déconnecté (ou en navigation privée). On veut voir ce qu'un visiteur normal peut atteindre.
- Fais un clic droit n'importe où, puis Inspecter. Un panneau s'ouvre. Va dans l'onglet Réseau (Network).
- Recharge la page. La liste se remplit des requêtes que ton app envoie. Dans le champ de filtre, tape
supabase. - Clique sur une requête qui contient
rest/v1/suivi d'un nom de table. Ouvre l'onglet Réponse (Response ou Preview). - Si tu vois des lignes de données (des emails, des noms, des objets), le RLS est désactivé sur cette table. Si tu vois une erreur d'autorisation ou une liste vide, cette table est protégée.
Comment lire ce que tu vois
Deux cas.
Le cas sain : la requête renvoie [] (vide) ou un message du genre permission denied. Ta table est verrouillée, un visiteur non connecté ne lit rien. C'est ce qu'on veut.
Le cas qui pique : la requête renvoie un tableau rempli de tes données. Là, n'importe qui avec le lien de ton app peut faire la même chose et récupérer le contenu. C'est le profil exact de la faille numéro un des apps vibe-codées.
Pendant que tu y es, va dans l'onglet Sources et cherche service_role, sk_live, sk-. Ces mots ne doivent jamais apparaître. S'ils sont là, tu as une clé secrète exposée en plus.
Ce que tu ne dois surtout pas faire
Tester ta propre app, oui. Aller sonder la base d'un site que tu ne possèdes pas, non. Même si elle est ouverte, interroger la base d'un tiers est un accès illégal à un système d'information (article 323-1). Le fait que ce soit ouvert ne te protège pas.
Reste sur tes apps, ou celles que tu es autorisé à tester. C'est aussi pour ça que Colmate ne va jamais lire ta base : on déduit à partir du public, on ne fouille pas.
Tu as trouvé quelque chose, maintenant quoi ?
Si une table répond sans authentification, il faut activer le RLS et poser une règle. J'explique le pourquoi et je donne les règles prêtes à coller dans RLS désactivé : pourquoi ta base est lisible.
Si tu préfères ne pas faire la manip à la main, un scan repère en trente secondes ce qui est exposé côté public (clés, source maps, en-têtes) et te signale l'exposition probable de ta base à vérifier, sans jamais y toucher. Et si tu lances bientôt, garde la checklist avant déploiement sous la main.
FAQ
Je ne vois aucune requête vers supabase, c'est bon signe ?
Pas forcément. Ça peut vouloir dire que tu as regardé ta page vitrine, qui ne charge pas la base. Vérifie sur l'URL où tes utilisateurs se connectent vraiment, là où l'app affiche des données. C'est cette page qui parle à Supabase.
La requête renvoie des données, mais c'est peut-être normal ?
Certaines données sont publiques par choix (un catalogue, des articles de blog). La question à te poser : est-ce que cette table contient des choses que tout le monde peut voir légitimement ? Si elle contient des emails, des commandes ou des messages privés, alors non, elle ne devrait pas répondre sans authentification.
Ça marche pareil sur mobile ?
Les outils de développeur sont plus simples à utiliser sur ordinateur. Fais la vérification depuis un navigateur de bureau (Chrome ou Firefox), même si ton app est surtout utilisée sur mobile. Ce que tu vois est identique, c'est la même app.
Deux minutes maintenant, pas une notification CNIL dans trois mois
C'est le geste le plus rentable que tu puisses faire avant de lancer. Vérifie ton app, ou lance un scan gratuit pour tout passer en revue d'un coup.